Chez ID2, nous savons pertinemment que lorsque l’on est une entreprise, protéger ses données est un devoir légal, mais pas seulement. C’est aussi et surtout primordial et indispensable pour la pérennité d’une activité.

Actualité

PROTEGER SES DONNEES SENSIBLES, un enjeu essentiel !

Chez ID2, nous savons pertinemment que lorsque l’on est une entreprise, protéger ses données est un devoir légal, mais pas seulement. C’est aussi et surtout primordial et indispensable pour la pérennité d’une activité.

Hasan, notre expert en protection des données évolue au sein de l’équipe Sécurisation du Système d’information (SSI) d’un de nos clients dans le secteur bancaire. Au quotidien il analyse, qualifie les alertes et les incidents, bloque les mauvais usages et sensibilise les utilisateurs, afin de réduire au maximum les fuites de données.

 

Dans cet article, Hasan vous révèle les bonnes pratiques à adopter.

L’humain est la première des sources de perte de données…qu’elle soit intentionnelle ou non. Être fier et montrer son travail sur les réseaux sociaux, transférer des fichiers sur sa boite mail personnelle pour y travailler plus tard dans un lieu public ou oublier un document à la photocopieuse a EXACTEMENT la même finalité que de charger des informations sur une clé USB avant de le donner à la concurrence, le vendre au plus offrant ou se faciliter la vie en cas de changement d’employeur.

Protéger vos données est capital ! Nous ne le répéterons jamais assez.

Car une entreprise se porte aussi garante de la pérennité de ses données. Elle en est responsable légale, déjà devant la CNIL, mais aussi depuis la mise en place de la non moins fameuse loi RGPD, et s’expose à des sanctions plus ou moins lourdes si jamais rien n’est mis en place. Et je ne vous parle même pas de toutes les autres normes existantes comme notamment la norme PCI-DSS pour le secteur bancaire…

Alors, comment faire pour sécuriser au mieux ?

Je préconise de mettre en place des mesures techniques pour détecter, prévenir et bloquer toutes fuites de données.

Nous savons que les principaux canaux de fuite des données sont :

  • Les ports USB
  • Les emails
  • Les impressions
  • L’accès et le stockage sur des clouds externes (Google drive, WeTransfer, etc.)

Pour les trois premiers vecteurs, une solution DLP (Data Loss Prevention) est efficace pour noter ce qui se passe (logger), prévenir et bloquer les fuites de données. Pour le quatrième vecteur, il est plutôt conseillé d’utiliser un proxy pour bloquer les accès au cloud externe.

La mise en place d’un outil de DLP se fait en 4 étapes.

La détection : mettez en place des politiques de détection des données sensibles.

La remédiation : éliminez les alertes inutiles, les faux positifs et réajustez les politiques de détections.

La prévention : prévenez par une notification les utilisateurs lors d’une mauvaise pratique et sensibilisez vos collaborateurs aux bonnes pratiques d’échanges sécurisés et à la classification de leurs données et mails. Il vous faudra peut-être mettre en place des plateformes ou des outils d’échanges sécurisés entre l’entreprise et vos partenaires, et donner aux utilisateurs des moyens pour chiffrer leurs mails et les pièces jointes associées, notamment avec les outils 7-zip ou OpenPGP, deux solutions Open source qui ont largement fait leurs preuves.

Le blocage : bloquez les mauvais usages à savoir les ports USB pour éviter toute exfiltration d’un grand nombre de données et bloquez les emails et les documents contenant des données sensibles.

Enfin, l’avantage des outils de DLP, c’est qu’ils offrent également la possibilité de scanner les serveurs de stockage de données et les postes de travail pour détecter les données sensibles et leur location sur le parc informatique de l’entreprise. Il est ainsi plus facile de les protéger, de les chiffrer ou de les effacer afin de respecter les réglementations en vigueur.

Nous pensons souvent, à tort, que les documents que nous produisons au sein d’une entreprise nous appartiennent. Ils sont pourtant l’entière propriété de l’employeur et représentent autant une somme d’argent investie qu’un avantage concurrentiel. Veillons donc à respecter les politiques et normes de sécurité informatique de notre entreprise et assurons-nous de leurs protections durant leur stockage ou leur transfert. Et tout ira bien !